Con la Direttiva U.E. 2022/2555 il Parlamento e il Consiglio Europeo approvano definitivamente la nuova direttiva NIS2, in sostituzione della precedente in atto dal 2018.
A chi si applica
Le nuove disposizioni normative interesseranno le seguenti tipologie di aziende:
- servizi digitali;
- servizi sanitari;
- servizi di produzione, trasformazione e distribuzione di cibo.
Rientrano nel campo di applicazione le società operanti nei settori sopra richiamati che siano di medie e grandi dimensioni, il provvedimento potrebbero interessate anche piccole e microimprese se operano in settori chiave per la società e, indipendentemente dalle dimensioni, fornitori, di servizi di comunicazione elettronica e di reti di comunicazione elettronica.
Gli Stati Membri dovranno fare in modo che le società rientranti nel suo ambito di applicazione debbano “adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi di rete e di informazione che tali soggetti utilizzano per le loro operazioni o per la fornitura dei loro servizi e per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi e su altri servizi.”
Inoltre, la direttiva prevede che nell’analisi della adeguatezza delle misure di sicurezza si debba tener conto anche delle misure adottate dai fornitori delle società rientranti nell’ambito della Direttiva NIS2. Questo rappresenta un argomento di notevole rilievo già attualmente per le aziende che sono fornitrici delle società rientranti nel perimetro di sicurezza nazionale perché gli obblighi in materia di cybersecurity si estendono indirettamente anche a loro.
Criteri di applicazione
Entro 21 mesi dall’entrata in vigore, la Commissione europea dovrà definire i requisiti tecnici e metodologici applicabili alle misure che dovranno essere adottate, tra gli altri, dai fornitori di servizi di cloud computing, data center, online market place, motori di ricerca e social network.
La Direttiva NIS2 prevede, come la precedente, un obbligo di notifica al CSIRT (Computer Security Incident Response Team) e alle autorità competenti, senza ritardo, di qualsiasi incidente che può avere un impatto significativo sulla fornitura del servizio. Inoltre, stabilisce che, la notifica debba avvenire anche a beneficio dei destinatari del servizio impattato dal cyber attacco, indicando le misure che detti destinatari sono in grado di adottare per reagire all’attacco.
La Direttiva, inoltre contiene l’applicazione del principio dello stabilimento: le società saranno soggette solo alla giurisdizione delle autorità dello Stato Membro in cui sono stabilite. Tuttavia, ci sono eccezioni applicabili, tra gli altri, nel caso di fornitori di servizi di comunicazione e di rete elettronica che sono soggetti alla competenza del Paese in cui si trovano i destinatari dei loro servizi; e alcuni servizi online che sono soggetti alla competenza del Paese dell’Unione Europea dove si trova il loro stabilimento principale.
Obblighi e sanzioni
La direttiva già prevede però, tra gli altri, l’obbligo per gli Stati Membri di stabilire la possibilità di sospendere l’attività aziendale dell’impresa e di imporre specifici divieti.
Le sanzioni previste:
- fino a € 10 milioni o al 2% del fatturato globale dell’anno precedente in caso di società essenziali;
- fino a € 7 milioni o al 1,7% del fatturato globale in caso di società importanti.
Se un incidente informatico ha comportato anche un data breach ai sensi del GDPR, le sanzioni amministrative previste dalla direttiva non sono applicabili. È infatti importante ricordare che la Direttiva NIS2 trova applicazione anche in caso di incidenti che non hanno comportato una violazione dei dati personali.
Si allega la Gazzetta ufficiale dell’UE 333/80 del 27 dicembre 2022. Gli Stati membri avranno un periodo massimo di 21 mesi per poter procedere al recepimento della normativa a livello nazionale. A quel punto le norme diventeranno vincolanti per le imprese e le norme di attuazione della direttiva NIS1 saranno abrogate.